本教學課程將逐步引導您遷移至 Microsoft Entra Cloud Sync,適用於原先使用 Microsoft Entra Connect Sync 同步的測試用 Active Directory 樹系。
本文提供基本移轉的資訊。 在您嘗試移轉生產環境之前,請先檢閱 移轉至 Microsoft Entra Cloud Sync 檔。
在本教學課程中,您將瞭解如何:
- 停止排程器。
- 建立自定義使用者輸入和輸出規則。
- 安裝布建代理程式。
- 確認代理程式安裝。
- 設定 Microsoft Entra Cloud Sync。
- 重新啟動排程器。
考量
嘗試進行本教學課程之前,請考量下列事項:
請確定您已熟悉 Microsoft Entra Cloud Sync 的基本概念。
請確定您執行的是 Microsoft Entra Connect Sync 1.4.32.0 版或更新版本,而且您已將同步處理規則設定為記載。
請確定針對試驗,您從 Microsoft Entra Connect Sync 範圍中移除測試組織單位 (OU) 或群組。 若將物件移出範圍外,會導致這些物件從 Microsoft Entra ID 中刪除。
- Microsoft Entra ID 中的使用者物件會被暫時刪除,因此您可以恢復它們。
- Microsoft Entra 識別碼中的群組對象會進行硬式刪除,因此您無法還原它們。
Microsoft Entra Connect Sync 引進了新的鏈接類型,可防止在試驗案例中刪除。
請確定試驗範圍中的物件已
ms-ds-consistencyGUID填入,以便 Microsoft Entra Cloud Sync 精確匹配這些物件。Microsoft Entra Connect Sync 預設不會填入
ms-ds-consistencyGUID群組物件。請精確地遵循本教學課程中的步驟。 此設定適用於進階案例。
必要條件
下列是完成此教學課程的必要條件
- 具有 Microsoft Entra Connect Sync 1.4.32.0 版或更新版本的測試環境
- 在同步範圍內且可在試驗階段使用的 OU 或群組。 建議您先從少量的物件開始。
- 執行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 來裝載布建代理程式的伺服器。
- Microsoft Entra Connect Sync 的來源錨點應該是 objectGuid 或 ms-ds-consistencyGUID
更新 Microsoft Entra Connect
您應該至少有Microsoft Entra Connect 1.4.32.0。 若要更新 Microsoft Entra Connect Sync,請遵循 Microsoft Entra Connect:升級至最新版本中的步驟。
備份您的 Microsoft Entra Connect 設定
進行任何變更之前,請先備份您的 Microsoft Entra Connect 設定。 如此一來才可復原到先前的設定。 如需詳細資訊,請參閱 匯入和導出Microsoft Entra Connect 組態設定。
停止排程器
Microsoft Entra Connect Sync 會使用排程系統來同步您內部部署目錄中發生的變更。 若要修改和新增自定義規則,您想要停用排程器,讓同步處理在工作且進行變更時不會執行。 若要停止排程器,請使用下列步驟:
- 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理許可權開啟 PowerShell。
- 執行
Stop-ADSyncSyncCycle。 請按 Enter 鍵。 - 執行
Set-ADSyncScheduler -SyncCycleEnabled $false。
注意
如果您正在執行自己的自定義排程器來管理 Microsoft Entra Connect 同步,請停用自定義同步排程器。
建立自定義使用者輸入規則
在 Microsoft Entra Connect 同步處理規則編輯器中,您需要建立輸入同步處理規則,以篩選出您先前識別 OU 中的使用者。 入站同步規則是一個以 cloudNoFlow作為目標屬性的連結規則。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱在嘗試移轉生產環境之前 移轉至 Microsoft Entra Cloud Sync 。
從桌面上的應用程式功能表開啟 [同步處理規則編輯器]。
![顯示 [同步處理規則編輯器] 功能表的螢幕快照。](media/tutorial-migrate-aadc-aadccp/user-8.png)
在 [ 方向] 底下,從下拉式清單中選取 [ 輸入 ]。 然後選取 [新增規則]。
![顯示 [檢視和管理同步處理規則] 視窗的螢幕快照,已選取 [匯入] 和 [新增規則] 按鈕。](media/tutorial-migrate-aadc-aadccp/user-1.png)
在 [ 描述] 頁面上,輸入下列值,然後選取 [ 下一步]:
- 名稱:為規則指定有意義的名稱。
-
描述:新增有意義的描述。
- 線上的系統:選擇您要撰寫自訂同步規則的Microsoft Entra 連接器。
- 線上的系統物件類型:選取 使用者。
- Metaverse 物件類型:選取 個人。
- 連結類型:選取 [聯結]。
- 優先順序:提供系統中唯一的值。
- 標籤:將此欄位保留空白。
![[建立輸入同步規則 - 描述] 頁面的螢幕截圖,上面填入了數值。](media/tutorial-migrate-aadc-aadccp/user-2.png)
在 [ 範圍篩選 ] 頁面上,輸入您用來建立試點的 OU 或安全群組。 若要篩選 OU,請新增專有名稱中的 OU 部分。 此規則適用於該 OU 中的所有使用者。 因此,如果識別名稱(DN)以
OU=CPUsers,DC=contoso,DC=com結尾,您會新增此篩選。 然後選取 [ 下一步]。規則 屬性 操作員 價值 界定 OU 的範圍 DNENDSWITHOU 的辨別名稱。 範圍界定組 ISMEMBEROF安全群組的專有名稱。 
在 [加入規則] 頁面上,選取 [下一步]。
在 轉換 頁面上,為 cloudNoFlow 屬性新增常數轉換:其來源值設為 True。 選取 <新增>。
針對所有物件類型(使用者、群組和聯繫人),請遵循相同的步驟。 根據設定的Active Directory 連接器或Active Directory 樹系重複這些步驟。
建立自定義使用者輸出規則
您需要具有 連結類型的 JoinNoFlow 輸出同步處理規則,以及屬性 cloudNoFlow 設定為 True的範圍篩選條件。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱在嘗試移轉生產環境之前 移轉至 Microsoft Entra Cloud Sync 。
在 [ 方向] 底下,從下拉式清單中選取 [ 輸出 ]。 然後選取 [新增規則]。
在 [ 描述] 頁面上,輸入下列值,然後選取 [ 下一步]:
- 名稱:為規則指定有意義的名稱。
-
描述:新增有意義的描述。
- 線上的系統:選擇您要撰寫自訂同步規則的Microsoft Entra 連接器。
- 線上的系統物件類型:選取 使用者。
- Metaverse 物件類型:選取 個人。
- 鏈接類型:選取 JoinNoFlow。
- 優先順序:提供系統中唯一的值。
- 標籤:將此欄位保留空白。
在 [ 範圍篩選 ] 頁面上,針對 [屬性] 選取 [cloudNoFlow]。 將值選取為True。 然後選取 [ 下一步]。
在 [ 聯結規則] 頁面上,選取 [ 下一步]。
在 [轉換] 頁面上,選取 [新增]。
針對所有物件類型(使用者、群組和聯繫人),請遵循相同的步驟。
安裝 Microsoft Entra 佈建代理程式
如果您使用 基本 Active Directory 和 Azure 環境 教學課程,請使用 CP1。 若要安裝代理程式,請遵循下列步驟。
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
在左窗格中,選取 [Entra Connect],然後選取 [雲端同步]。
![顯示 [開始使用] 畫面的螢幕快照。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png)
在左窗格中,選取 [ 代理程式]。
選取 [下載內部部署代理程式],然後選取 [ 接受條款及下載]。
下載 Microsoft Entra Connect 布建代理程式套件之後,請從下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。
在開啟的畫面上,選取 [我同意授權條款及條件 ] 複選框,然後選取 [ 安裝]。
安裝完成之後,組態精靈隨即開啟。 選取 [下一步] 開始進行設定。
使用至少具有 混合式身分識別系統管理員 角色的帳戶登入。 若已啟用 Internet Explorer 增強式安全性,系統會封鎖登入。 如果是,請關閉安裝、 停用 Internet Explorer 增強安全性,然後重新啟動 Microsoft Entra 布建代理程式套件安裝。
![顯示 [連接 Microsoft Entra ID] 畫面的螢幕擷取畫面。](../../../includes/media/entra-cloud-sync-how-to-install/username.png)
在 [設定服務帳戶] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受控服務帳戶已由另一個代理程式在您的網域中設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA]。 系統會偵測現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的許可權。 出現提示時,請選擇下列兩個選項之一:
-
建立 gMSA:讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶 (例如,
CONTOSO\provAgentgMSA$) 是在主伺服器加入所在的相同 Active Directory 網域中建立的。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證 (建議使用)。 - 使用自訂 gMSA:提供您為這項工作手動建立的受控服務帳戶名稱。
-
建立 gMSA:讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶 (例如,
若要繼續,請選取 [下一步]。
在 [連線 Active Directory] 畫面上,如果您的網域名稱出現在 [設定的網域] 下,請跳至下一個步驟。 否則,請輸入您的 Active Directory 功能變數名稱,然後選取 [新增目錄]。
使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝期間過期或變更,請使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定],然後選取 [ 下一步 ] 繼續。
選取 [下一步 ] 繼續。
在 [設定完成] 畫面上,選取 [確認]。 此操作會註冊並重新啟動代理程式。
作業完成之後,您會看到代理程式設定已成功驗證的通知。 選取 結束。 如果您仍然取得初始畫面,請選取 [關閉]。
![顯示 [開始使用] 畫面的螢幕快照。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png#lightbox)
![顯示 [連接 Microsoft Entra ID] 畫面的螢幕擷取畫面。](../../../includes/media/entra-cloud-sync-how-to-install/username.png#lightbox)
驗證代理程式安裝
代理程式驗證會在 Azure 入口網站和執行代理程式的本地伺服器上發生。
在 Azure 入口網站中確認代理程式
若要確認Microsoft Entra ID 註冊代理程式,請遵循下列步驟:
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Entra Connect],然後選取 [雲端同步]。
在 Cloud Sync 頁面上,按一下 代理程式 以查看您安裝的代理程式。 確認代理程式已顯示,且狀態是否為 作用中。
確認本地伺服器上的代理程式
若要確認代理程式正在執行,請遵循下列步驟:
使用管理員帳戶登入伺服器。
移至 [服務]。 您也可以使用 Start/Run/Services.msc 來取得它。
在 [ 服務] 底下,確定 Microsoft Azure AD Connect 代理程式更新程式 和 Microsoft Azure AD Connect 佈建代理程式 存在,且狀態為 [執行中]。
確認佈建代理程式版本
若要確認執行中的代理程式版本,請遵循下列步驟:
- 移至 C:\Program Files\Microsoft Azure AD Connect 布建代理程式。
- 以滑鼠右鍵按兩下 AADConnectProvisioningAgent.exe ,然後選取 [ 屬性]。
- 選取 [ 詳細數據] 索引標籤。版本號碼會出現在產品版本旁邊。
設定 Microsoft Entra 雲端同步
若要設定布建,請遵循下列步驟:
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>Entra Connect>Cloud sync。
選取 [新增設定]。
在組態畫面上,選取您的網域,以及是否啟用密碼哈希同步處理。然後選取 [建立]。
在 [開始使用] 畫面上,選取 [新增範圍篩選器] 圖示旁的 [新增範圍篩選器]。 或在 [ 管理] 底下的左窗格中,選取 [ 範圍篩選]。
選擇範圍篩選器。 在本教學課程中,選取 [選取的組織單位]。 此篩選器將配置的範圍限定為適用於特定的組織單位 (OU)。
在方塊中,輸入 OU=CPUsers,DC=contoso,DC=com。
選取 [新增>儲存]。
啟動排程器
Microsoft Entra Connect Sync 使用排程器來同步處理您內部部署目錄中發生的變更。 現在您已修改規則,您可以重新啟動排程器。
- 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理員許可權開啟 PowerShell。
- 執行
Set-ADSyncScheduler -SyncCycleEnabled $true。 - 執行
Start-ADSyncSyncCycle。 然後選取 Enter。
注意
如果您正在執行自定義的 Microsoft Entra Connect Sync 排程器,請重新啟用自定義同步排程器。
啟用排程器之後,Microsoft Entra Connect 會停止匯出 Metaverse 中物件 cloudNoFlow=true 的任何變更,除非正在更新任何參考屬性 (例如 manager) 。 如果物件有任何參考屬性更新,Microsoft Entra Connect 會忽略cloudNoFlow訊號,並導出物件上的所有更新。
故障排除
如果試驗無法如預期般運作,請返回 Microsoft Entra Connect 同步設定。
- 在入口網站中停用設定配置。
- 使用 [同步規則編輯器] 工具來停用您為雲端布建建立的所有自定義同步處理規則。 停用將導致所有連接器的完整同步。